Mit Ransomware und deren aktueller Ausprägung – Ransomware as a Service – hat die Cybercrime-Industrie ein lukratives und bequem skalierbares Geschäftsmodell entwickelt. Medienwirksames Ziel sind oft namhafte Konzerne, doch vor allem kleinere und mittelständische Unternehmen stehen solchen Bedrohungen häufig machtlos gegenüber. Laut aktueller Bitkom-Studie verursachte Cybercrime bei deutschen Unternehmen im letzten Jahr einen Schaden von 203 Milliarden Euro. Für Unternehmen, die nicht selbst über ein kompetentes Security-Team mit 24/7-Überwachung verfügen, lohnt sich deshalb der Blick auf Managed Security Services, also dauerhaft durch externe Spezialisten erbrachte IT-Sicherheitsdienstleistungen.
Keine Spezies hat das Angesicht der Erde so stark verändert wie der Mensch. Dessen Dominanz gegenüber anderen Lebewesen beruht auf seiner Fähigkeit, flexibel in großen Gruppen zu kooperieren – so zumindest Yuval Noah Harari, Historiker und aufmerksamer Beobachter des menschlichen Miteinanders, in seinem TED Talk „Why Humans Run the World“.
Wie er ausführt, schließen sich zwar auch manche Tiere wie etwa Bienen zu großen sozialen Strukturen zusammen, agieren aber stets nach starren Mustern; soziale Tiere wie Menschenaffen oder Wölfe arbeiten zwar flexibel zusammen, jedoch nur in kleinen Gruppen, in denen jeder jeden kennt und ihm vertraut. Allein unsere Spezies, die sich etwas großspurig „homo sapiens“ (weiser Mensch) nennt, vereint laut dem israelischen Historiker beides.
Diese Fähigkeit, so Harari, ermögliche es ihm beispielsweise, seinen TED Talk zu halten, ohne den Piloten des Flugzeugs, das ihn nach London gebracht hat, persönlich kennen zu müssen oder zu wissen, wer das Mikrofon erfunden und produziert hat, das er beim Vortrag nutzt. Mit anderen Worten: Die Erfolgsgeschichte der menschlichen Zivilisation – wenn man denn angesichts drohender Zerstörung großer Teile des menschlichen Habitats durch den Menschen selbst weiterhin von einer „Erfolgsgeschichte“ sprechen will – verdankt ihre Antriebskraft einem simplen Prinzip, nämlich der Arbeitsteilung.
Ohne sie müssten wir, wie unsere Steinzeit-Vorfahren, unser Werkzeug immer noch selbst schnitzen, selbst jagen und sammeln gehen und aus dem Fell der selbst erlegten Beute den Lendenschurz selbst basteln. Bei „Arbeitsteilung“ denkt man unwillkürlich an Manufaktur und Fabrik, doch das Prinzip reicht viel weiter: Ohne sie gäbe es kein Staatswesen, keine Bürokratie (OK, in der Steinzeit war nicht alles schlecht) und weder Rockband noch Symphonieorchester, nur Barden mit Instrumenten Marke Eigenbau – Bob Dylan auf der Blockflöte.
Doch es gibt auch eine dunkle Seite der Arbeitsteilung, hat sie doch auch unter Kriminellen Tradition: der eine bricht ein, der andere steht Schmiere; der eine überfällt die Bank, der andere fährt den Fluchtwagen; der eine verhökert Immobilienkredite an Leute, die sich gar kein Haus leisten können, der andere bündelt die faulen Kredite mit normalen zu Derivaten und treibt das Finanzsystem an den Rand des Kollaps.
Auch in der Cybercrime-Szene sind die Zeiten längst vorbei, in denen ein einsamer Hacker wie Kevin Mitnick durch Social Engineering (Ausnutzen menschlicher Schwächen) im Alleingang den Quellcode von Sun Microsystems ergaunerte. Cybercrime ist heute eine Industrie: Der Cyberkriminelle von Welt geht längst arbeitsteilig vor und kauft gestohlene Zugangsdaten für seine Angriffe bequem – und oft für lau – bei einschlägigen Schwarzmarkt-Sites.
Arbeitsteilige digitale Erpressung
Ransomware as a Service hebt diese cyberkriminelle Arbeitsteilung auf die nächste Stufe: Eine Gruppe entwickelt den Code für den Erpressungstrojaner und betreibt die dafür erforderliche Infrastruktur, überlässt die eigentliche Durchführung der Angriffe aber sogenannten „Affiliates“ (Partnerunternehmen). Eine Analyse von Leaks der russischen APT-Gruppierung (Advanced Persistent Threat) Trickbot durch den britischen Security-Dienstleister Cyjax zeigte, dass Trickbot organisiert ist wie das Unternehmen von nebenan: Die Gruppe verfügt laut dem Report über aufgabenspezifische Entwicklerteams und eine vollständige Management-Struktur inklusive Personalwesen mit Gehältern und Boni.
Der Cyjax-Report beschreibt einen Arbeitsalltag, der durchaus vertraut klingt: „Jedes Mitglied der Organisation hat ein vereinbartes Gehalt, wobei die meisten Entwickler mit etwa 2.000 Dollar pro Monat beginnen. Dieses wird am 1. und 15. des Monats ausgezahlt.“ Ein kleiner – und letzthin nicht unbedingt vorteilhafter – Unterschied: „Alle Gehälter werden in Kryptowährung gezahlt, wobei Bitcoin die häufigste Währung ist.“
Dieser Angreiferindustrie steht zumindest in größeren Unternehmen und Konzernen eine ähnlich gut organisierte Security-Organisation gegenüber: Im SOC (Security Operations Center) sorgen qualifizierte Security-Analysten für 24/7-Überwachung, aggregieren Bedrohungsinformationen (Threat Intelligence) aus zahlreichen Quellen, nutzen klare Eskalationsprozesse und betreiben idealerweise eine proaktive Bedrohungssuche (Threat Hunting). Mittelständische und insbesondere kleine Unternehmen hingegen können sich in aller Regel eine solch arbeitsteilige Verteidigung nicht leisten – und selbst wenn sie es könnten, wäre passendes Fachpersonal derzeit wohl kaum zu finden.
Delegieren an Externe
Ein Grundprinzip der Arbeitsteilung: Wenn man eine Aufgabe hausintern nicht stemmen kann, gibt man ihre Bewältigung an externe Fachleute ab. Deshalb ist es nur logisch, dass Marktbeobachter den Managed Security Services eine rosige Zukunft voraussagen, nicht zuletzt dem Bereich MDR (Managed Detection and Response, also Überwachung von Bedrohungsdaten und Hilfe bei der Abwehr von Angriffen als dauerhaft erbrachte externe Dienstleistung). So erwartet zum Beispiel das Analystenhaus MarketsandMarkets, dass der MDR-Markt von geschätzt 2,6 Milliarden Dollar im Jahr 2022 bis zum Jahr 2027 auf 5,6 Milliarden Dollar anwachsen wird. Dies entspräche, wenn es denn eintritt wie prognostiziert, bis 2027 einer jährlichen durchschnittlichen Wachstumsrate von 16 Prozent.
Zu den Faktoren, die diese Entwicklung antreiben, zählen laut dem Analystenhaus der Mangel an qualifizierten Cybersecurity-Fachkräften ebenso wie Budgetbeschränkungen, staatliche Vorschriften und Compliance-Regularien. Als Bremsklötze nennen sie „mangelndes Vertrauen in Anwendungen von Drittanbietern“ sowie „das Fehlen einer modernen IT-Infrastruktur“. Im KMU-Segment erwarten die Marktbeobachter ein überproportional hohes Wachstum, da es immer häufiger zu Cyberangriffen kommt und die etablierten Sicherheitslösungen diese nicht verhindern können. Das stärkste regionale Wachstum sagt das indische Analystenhaus dem asiatisch-pazifischen Raum vorher.
Breite Auswahl an MDR-Anbietern
Zu den wichtigsten Anbietern auf dem globalen MDR-Markt zählen laut MarktsandMarkets diverse US-amerikanische Player, darunter CrowdStrike, Mandiant (kürzlich von Google geschluckt), Rapid7, Red Canary, SentinelOne, Trustwave oder auch Arctic Wolf (die kürzlich ihr Europageschäft verstärkten). Als relevante europäische Anbieter nennt das indische Analystenhaus Kudelski Security (Schweiz), Sophos (UK) und Ackcent (Spanien).
Hinzu gesellen sich aber – wie immer in solchen Fällen – regionale Größen, die unter dem Radar global agierender Analystenhäuser durchfliegen. In Deutschland reicht das Spektrum von etablierten MSSPs (Managed Security Service Provider) wie Indevis und 8com bis zu Generalisten wie T-Systems.
Neben solchen Lokalmatadoren tummeln sich noch weitere europäische Anbieter im MDR-Markt. Bitdefender, Security-Anbieter mit Hauptsitz in Bukarest, zum Beispiel ergänzte jüngst sein MDR-Portfolio um eine KMU-freundliche Variante: MDR Foundations ist ein neuer Service, der sich laut Hersteller auf Monatsbasis buchen und an die Nutzerbedürfnisse anpassen lässt. Er biete eine vollständig verwaltete und durch Sicherheitsexperten angeleitete Erkennung und Abwehr von Angriffen. MSSPs, VARs (Value Added Reseller) und Anwenderunternehmen, die intern lediglich über begrenzte Ressourcen und Kompetenzen verfügen, sollen damit rund um die Uhr Zugriff auf die Bitdefender-Experten erhalten. Die Rumänen versprechen ein automatisiertes und einfaches Onboarding neuer Anwenderunternehmen innerhalb eines Tages.
„Cyberkriminalität und fortschrittliche Cyberattacken bedrohen nicht mehr länger nur große Unternehmen. Heutzutage sind Organisationen sämtlicher Größen dem Risiko des Datendiebstahls, der Spionage oder der Ransomware, die alle Unternehmensabläufe lahmlegt, ausgesetzt“, erklärte Daniel Clayton, Vice President Global Security Operations and Services bei Bitdefender. Für eben diesen „noch relativ unterversorgten Markt“ sei MDR Foundations konzipiert. Ein weiteres europäisches Beispiel: Der ungarische Anbieter Socwise will sich künftig stärker europaweit engagieren.
Auch Kaspersky hat sein MDR-Angebot kürzlich erweitert. Fällt dieser Tage der Name Kaspersky, muss man erwähnen, dass das BSI im März vor dem Einsatz der Software des russischen Security-Anbieters warnte. Recherchen von Spiegel und BR (Bayerischer Rundfunk) belegten allerdings jüngst, dass die Entscheidung auf politischen Druck entstanden ist: Das BMI befürchtete Einflussnahme russischer Dienste auf Kaspersky und sah deshalb „Gefahr im Verzug“, insbesondere für Betreiber kritischer Infrastruktur – ohne dass an der Kaspersky-Software technische Mängel zu finden waren.
Noch 2017, als die USA den Kaspersky-Einsatz in US-Behörden untersagten, lobte das BSI die gute Zusammenarbeit mit dem Anbieter. Inzwischen unterhält dieser sogar Transparenzzentren, in denen Kunden die Codequalität selbst überprüfen können. Der BR zitiert Dennis-Kenji Kipker, Professor für IT-Sicherheitsrecht in Bremen, mit der Aussage, das BSI habe hier „eindeutig vom Ergebnis her“ – also entgegen seinem Auftrag – gearbeitet. Es wäre laut Kipker besser gewesen, allgemein vor russischen Produkten zu warnen statt Kaspersky „als Exempel zu verwenden“.
In Fachkreisen jedenfalls gilt der in die Schusslinie der Weltpolitik geratene Anbieter als etablierter Player mit erfahrenen Experten. Zu diesen Fachleuten erhalten MDR-Kunden jetzt mit Kaspersky Managed Detection and Response einen direkten Draht: Mittelständische Unternehmen können sich nun per Chat rund um die Uhr an sie wenden, direkt aus Kasperskys Verwaltungskonsole Security Center heraus. Bei einem Vorfall erhalte ein IT-Team dadurch schnelle Unterstützung inklusive Empfehlungen zu Reaktionsmaßnahmen.
„Die Einführung eines Chats ist eine scheinbar kleine, aber bedeutende Änderung, die es Kunden erheblich erleichtern wird, Vorfälle zu bearbeiten“, so Christian Milde, Geschäftsführer DACH bei Kaspersky. Man werde in Europa weiterhin investieren, um die Bedürfnisse lokaler Unternehmen zu erfüllen: Kaspersky plane, weitere Analysten in Europa für das eigene SOC einzustellen. Fast die Hälfte (47 Prozent) der Service-Abdeckung des hauseigenen MDR-Angebots entfallen laut dem Anbieter auf Europa; Italien, Deutschland und Österreich seien die aktivsten Nutzer dieses Services.
Der Bochumer Security-Spezialist G Data wiederum erklärte im Frühjahr, das erste Vierteljahr 2022 sei sein bislang erfolgreichstes B2B-Quartal gewesen. Der deutsche Lokalmatador berichtete von starker Nachfrage nach Angeboten für Managed Security Services und will das Geschäftsfeld künftig weiter ausbauen; Gleiches gelte für den Geschäftsbereich Security Awareness – eine sinnvolle Ergänzung.
Managed Security ist nicht nur MDR
Denn die von Harari so gelobte Fähigkeit zur flexiblen Kooperation in großen Gruppen birgt auch ihre Risiken: Der Mensch scheint auf die Bereitschaft gepolt, anderen Menschen spontan – und zunächst unbegründet – Vertrauen entgegenzubringen. Ohne diese Bereitschaft zu einem initialen Grundvertrauen gäbe es keine Arbeitsteilung: Man müsste ständig selbst die Nieten am Flugzeug und die Lötstellen am Mikrofon prüfen, um sich vor Abstürzen und Stromschlägen ausreichend sicher zu fühlen.
Wie Security-Vordenker Bruce Schneier in seinem Buch Liars and Outliers – auf Deutsch etwa: „Lügner und (statistische) Ausreißer“ – darlegt, fährt der Mensch mit diesem Grundvertrauen in aller Regel sehr gut – es öffnet aber zugleich einer kriminellen Minderheit die Tür für Missbrauch, von altbekanntem Betrug bis zur aktuellen Phishing-Mail-Seuche. Deshalb kann es ratsam sein, auch Security-Awareness-Schulungen als Managed Service zu beziehen, wie sie zum Beispiel der Berliner E-Learning-Spezialist Lawpilots offeriert, neuerdings sogar mit einem Trainingsmodul speziell zu Ransomware.
Neben dem Schutz von Endpunkten und Awareness-Trainings bietet der Markt auch eine Fülle weiterer Managed Services, etwa für sichere Netzwerkzugriffe auf verteilte (Cloud-)Ressourcen (Secure Access Service Edge/SASE, Security Service Edge/SSE). Und wer Teile seiner IT in die Public Cloud ausgelagert hat, findet in den Marktplätzen der Cloud-Größen passende Angebote für deren Schutz. So brachte zum Beispiel Beispiel Palo Alto Networks im Frühjahr einen Managed-NGFW-Service (Next-Generation Firewall) für AWS auf den Markt. Dieser soll mittels Deep Learning helfen, Zero-Day-Bedrohungen aus dem Internet in Echtzeit zu stoppen. Und last but not least ist angesichts zunehmender Digitalisierung in der Industrie zu erwarten, dass sich rund um die Absicherung industrieller Betriebstechnik ein florierender Markt spezialisierter Managed-OT-Security-Dienstleister herausbilden wird.
Eine Frage der Organisation
Heute ist es nicht mehr damit getan, einmal eine Firewall und Antivirensoftware zu installieren – oder installieren zu lassen: Die Bedrohungslage erfordert eine dauerhafte Überwachung einschlägiger Parameter – und im Ernstfall die sofortige Unterstützung bei der Jagd auf Angreifer. Insbesondere kleine und mittlere Unternehmen dürften sich auf Dauer schwer tun, den immer professioneller vorgehenden Cybercrime-Gruppen dauerhaft zu widerstehen. Ohne professionelle Unterstützung sehen sich die überlasteten IT-Teams insbesondere im KMU-Markt früher oder später einer wohlorganisierten Angreiferfront gegenüber – ausgestattet nur mit den digitalen Pendants von Faustkeil und Lendenschurz.
Die Verteidigerseite wird sich wesentlich besser organisieren und verzahnen müssen als bisher: Die Stärke des Menschen liegt in der flexiblen Organisation großer, schlagkräftiger Verbünde, das gilt auch für die Abwehr von Cyberkriminalität. Diese Stärke sollte man künftig besser nutzen – in den Unternehmen, aber auch auf nationaler und internationaler Ebene.
Lust auf mehr Artikel dieser Art? Nichts leichter als das! Einfach hier den IT Info 2 Go Newsletter abonnieren! (Achtung: Double-Opt-in wg. DSGVO! Es kommt also eine E-Mail mit Link zur Bestätigung, deshalb bitte ggf. Spam-Ordner checken!)
(Dieser Beitrag erschien erstmals in LANline 10/2022.)
Bild: (c) Wolfgang Traub
IT Info 2 Go 